提供了一种方法和系统,用于增加、移去和管理网络设备中的多个网络策略过滤器。将过滤器安装在框架中,并将过滤器指定为“活动”或“禁用”。每个过滤器具有优先级。当新的过滤器将要被安装入该框架时,将它与被安装的过滤器进行比较,以确定是否存在冲突。如果不存在冲突,则将这个新的过滤器作为活动过滤器被加入。如果存在冲突,则将较高优先级的、发生冲突的过滤器作为活动过滤器被加入,并将较低优先级过滤器作为不活动的过滤器被加入。
【技术实现步骤摘要】
本专利技术一般涉及计算机系统和计算机网络。更具体地说,本专利技术涉及管理基于网 络过滤器的策略。
技术介绍
计算机实施各种网络策略,以便控制网络信息流通量,并保护计算机或其他网络 设备避免遭遇其他网络设备的恶意攻击(例如,盗窃数据、服务拒绝(DOS)攻击和类似的攻 击)。被用来保护网络设备的一种策略通过被称作“防火墙”的工具来加以实施。该防火 墙保护用户个人、网络设备和一般的网络避免遭遇恶意的攻击,同时也增加了控制该数据 交换的能力。通过检查网络信息包,并通过根据该检查来确定是应该允许这些信息包进一 步穿过网络还是应该相反地阻滞这些信息包进一步穿过网络,该防火墙可实施这项策略。 防火墙执行其他功能,例如,记录关于信息包的信息,供将来检查。该防火墙使用过滤器来实施这项策略。每个过滤器包括过滤器参数和一个动作。 这些过滤器参数识别受制于该策略的网络信息包,并且包括诸如硬件地址(例如,媒体访 问控制(MAC)地址)、网络地址(例如,“互联网协议”(IP)地址)、协议类型(例如,“传输 控制协议”(TCP))、端口号和类似物等信息。该动作定义应该如何处置具有与这些过滤器参 数相匹配的参数的信息包。一个特殊的例子是该过滤器包括“统一资源定位器”(URL)地 址(例如,“http://www.foo. com”),作为它的参数。该过滤器进一步使该阻滞动作(即, 丢弃该信息包)与那个URL地址相关联。只要该防火墙检查信息包并且通过那项检查而将 该URL地址“http://WWW. foo. com"识别为被嵌入该信息包中,该防火墙就丢弃该信息包, 从而防止它穿过网络。该防火墙包括用于实施这项策略的多个过滤器,两个或更多的过滤器可能会发生 冲突。当两个或更多的过滤器适用于网络信息包的共同子集并指定不同的动作时,它们会 发生冲突。例如,一个过滤器指定应该允许网络信息包穿过网络;而另一个不同的过滤器 则指定应该阻滞相同的网络信息包进行网络遍历。如果网络设备内存在发生冲突的过滤 器,则该总系统将如何响应于网络信息流通量会变得不可预知。
技术实现思路
本专利技术针对一种方法和系统,用于将定义网络策略的一个部分的新的过滤器加入 框架中的一组被安装的过滤器。该框架包括活动过滤器和禁用过滤器。这些活动过滤器识 别被用来实施当前网络策略的这个被安装的过滤器集中的过滤器。这些禁用过滤器识别没 有被用来实施当前网络策略的这个被安装的过滤器集中的过滤器。这个新的过滤器和这个被安装的过滤器集每个都包括一组过滤器条件和一种优 先级类别。这些过滤器条件识别受制于该过滤器中所定义的那项策略的网络信息包。该优 先级类别根据对该过滤器中所定义的那项策略负责的该用户或处理,来识别该过滤器的优 先级。防火墙引擎确定这个新的过滤器和这个被安装的过滤器集中的这些过滤器中的 至少一个过滤器是否有冲突。如果这个新的过滤器与这些被安装的过滤器中的一个过滤器 发生冲突,则该防火墙引擎确定这个新的过滤器的优先级类别是否低于这至少一个被安 装的过滤器的优先级类别。然后,该防火墙引擎将这个新的过滤器安装入这个被安装的过滤器集。在本专利技术的一个实施例中,该防火墙引擎使用这个新的过滤器和这些被安装的过 滤器中的这至少一个过滤器的优先级类别来确定这个新的过滤器是作为禁用过滤器还是 作为活动过滤器来被加入。如果这个新的过滤器的优先级类别低于这至少一个被安装的过 滤器的优先级类别,则这个新的过滤器作为禁用过滤器来加入。如果这个新的过滤器的优 先级类别高于这些被安装的过滤器中的这至少一个过滤器的优先级类别,假如不存在其他 更高优先级类别的、有冲突的过滤器,则这个新的过滤器作为活动过滤器来加入,并且,这 些被安装的过滤器中的这至少一个过滤器作为禁用过滤器来加入。在本专利技术的另一个实施例中,每个过滤器包括加权值,该加权值进一步识别该过 滤器的优先级,并且被用于结合该优先级类别来识别过滤器冲突。从这些过滤器条件的集 合中自动计算该加权值。这些过滤器条件中的每个过滤器条件被加以换算,以适合该加权 值内的位分配。作为选择,该加权值是一个被分配的值。本专利技术也针对一种用于从这个被安装的过滤器集中移去过滤器的方法。在除去该 过滤器之后,该防火墙引擎确定被除去的那个过滤器是否曾是活动过滤器。如果被除去的 那个过滤器曾被识别为活动过滤器,则该防火墙引擎识别被取而代之的禁用过滤器,这些 禁用过滤器曾因为与被除去的那个过滤器发生冲突而被禁止使用。然后,这些被取而代之 的过滤器作为活动过滤器来加入,这又可能会导致其他过滤器被禁止使用。通过以下参照附图而对说明性实施例的详细描述,本专利技术的附加的特点和优点将 会变得一目了然。附图说明所附如权利要求书详细地陈述了本专利技术的这些特点,但通过以下结合附图的详细 说明,可以最佳程度地理解本专利技术及其目的和优点。在这些附图中图1是框图,一般展示了其上驻留本专利技术的示范计算机系统;图2是框图,一般展示了其中可以执行本专利技术的该方法和系统的框架;图3是框图,展示了用于本专利技术的示范过滤器;图4是框图,展示了用于本专利技术的关于信息包上下文的示范数据结构;图5是框图,展示了用于本专利技术的一组示范的应用编程接口 ;图6是框图,展示了用于本专利技术的一种应用编程接口 ;图7是流程图,展示了根据本专利技术的、被用来增加过滤器的示范方法;图8是流程图,展示了根据本专利技术的、被用来移去过滤器的示范方法;图9是流程图,展示了根据本专利技术的、被用来识别过滤器冲突的示范方法;以及,图10是流程图,展示了被用来为过滤器计算加权值的示范方法。具体实施例方式揭示了一种方法,用于在基于网络过滤器的各项策略之中维护并解决冲突。当新 的过滤器被安装在网络设备中时,该方法能够识别并解决过滤器冲突。这些基于网络过滤器的策略由防火墙框架中所安装的过滤器来进行定义。虽 然该框架被设计成实施防火墙策略,但是,该框架同样适合推动诸如“网际协议安全 性”(IPSec)、“服务质量”(Q0S)和类似物等其他基于过滤器的策略。该框架包括核心模式处理,该核心模式处理包括一个或多个核心层,这些核心层 构成协议堆栈、核心防火墙引擎以及一个或多个呼出。该协议堆栈包括应用层、传输层、网 络层和链路层。该核心防火墙引擎包括一层“应用编程接口”(API)、一组被安装的过滤器 和呼出API。该用户模式处理包括用户防火墙引擎、策略供应者以及一个或多个用户层。该用 户防火墙引擎也包括该核心防火墙引擎的实例(被称作“过滤器模块”),该实例复制用户 模式中的该核心防火墙引擎的各项服务,并且也包括一组被安装的过滤器。该用户层和核心层每个都构成能够将分类请求发送到该核心防火墙引擎或用户 防火墙引擎的请求层。该分类请求包括由该请求层接收的信息包、信息包上下文和与该请 求层关联的一组层参数。该核心防火墙引擎或用户防火墙引擎处理该请求,并返回由这个 被安装的过滤器集来定义的防火墙或其他网络策略。这个被安装的过滤器集中的每个过滤器包括一组过滤器条件、一个动作、一组过 滤器属性和可能定义网络策略的其他数据。这些过滤器条件识别受制于该过滤器中所定义 的该网络策略的信息包或其他数据。该动作被用来定义该过滤器中的这项策略,并且通常 识别是应该允许与该过滤器相匹配的信息包穿过网络,还是相反地应该阻滞这本文档来自技高网...
【技术保护点】
一种用于从框架内的一组被安装的过滤器中移去第一个过滤器的方法,该框架具有活动过滤器清单和禁用过滤器清单,其特征在于包括:从这个被安装的过滤器集中移去这第一个过滤器;确定是否曾在该禁用过滤器清单中识别过这第一个过滤器;至少从这个被安装的过滤器集中识别一第二个过滤器;从该禁用过滤器清单中移去这第二个过滤器;以及,将这第二个过滤器加入该活动过滤器清单。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:BD斯瓦恩德,AK齐哈布拉,PG枚菲尔德,
申请(专利权)人:微软公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。